MS03-031: Cumulatieve beveiligingspatch voor SQL Server

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 815495 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Microsoft heeft een beveiligingspatch uitgebracht om lekken in de volgende producten te corrigeren:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Hieronder ziet u een overzicht van de beveiligingslekken die door deze patch worden verholpen:
  • Overname van named pipes
    SQL Server maakt tijdens het starten een specifieke named pipe en luistert vervolgens op deze named pipe naar inkomende verbindingen met de server. Een named pipe is een specifiek benoemd eenrichtings- of tweerichtingskanaal voor communicatie tussen een pipe-server en een of meer pipe-clients. SQL Server controleert de named pipe om na te gaan welke verbindingen zich kunnen aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, voor het uitvoeren van query's op gegevens die zich op de server bevinden.

    Door een lek in de controlemethode voor de named pipe kan een hacker die lokaal werkt op het systeem met SQL Server, de named pipe overnemen wanneer een andere client een geverifieerd aanmeldingswachtwoord gebruikt om zich aan te melden. Daardoor kan de hacker controle krijgen over de named pipe op hetzelfde machtigingsniveau als de gebruiker die probeert verbinding te maken. Als de gebruiker die extern verbinding probeert te maken, een hoger machtigingsniveau heeft dan de hacker, krijgt de hacker de rechten van die gebruiker wanneer de named pipe wordt gekraakt.
  • DoS (Denial of Service) door named pipes
    In hetzelfde scenario dat wordt vermeld onder 'Overname van named pipes' hierboven, kan een niet-geverifieerde gebruiker die lokaal op het intranet werkt, een uitermate groot pakket sturen naar een specifieke named pipe waarop het systeem met SQL Server luistert. Dat kan ertoe leiden dat het systeem niet meer reageert.

    Hoewel dit lek een hacker niet de mogelijkheid biedt om willekeurige programmacode uit te voeren of om zijn of haar machtigingsniveau te verhogen, kan er wel een DoS-situatie (Denial of Service) ontstaan waardoor de server opnieuw moet worden opgestart om alle functionaliteit te herstellen.
  • Bufferoverloop in SQL Server
    Door een lek in een specifieke Windows-functie is een niet-geverifieerde gebruiker die zich rechtstreeks kan aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, in staat een speciaal samengesteld pakket te maken dat een bufferoverloop kan veroorzaken wanneer het pakket naar de LPC-poort (Local Procedure Call) wordt gestuurd. Daardoor kan een gebruiker met een beperkt machtigingsniveau voor het systeem zijn of haar niveau verhogen tot dat van de SQL Server-serviceaccount, of willekeurige programmacode laten uitvoeren.

Meer informatie

Voor meer informatie over deze lekken en voor informatie over het verkrijgen van de patches klikt u hieronder op het nummer van het artikel in de Microsoft Knowledge Base dat betrekking heeft op uw versie van SQL Server.

SQL Server 2000 Service Pack 3 (SP3) of Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277MS03-031: Beveiligingspatch voor SQL Server 2000 Service Pack 3

Belangrijke opmerkingen

Lees deze belangrijke opmerkingen over de installatie van deze beveiligingspatch op een computer waarop SQL Server 2000 SP3 wordt uitgevoerd.
UDDI-services (Universal Description, Discovery and Integration)
Als u deze beveiligingspatch installeert op een computer met Microsoft Windows Server 2003 waarop UDDI-services zijn geïnstalleerd, moet u, afhankelijk van uw situatie, een van twee mogelijke acties ondernemen om de UDDI-services opnieuw te starten. Pas dan zullen de UDDI-services weer normaal functioneren.
  • Als er geen andere webservice in gebruik is op de computer met Windows Server 2003, kunt u de UDDI-services weer starten door Microsoft Internet Information Services (IIS) opnieuw te starten. Het opnieuw starten van IIS is hetzelfde als eerst IIS stoppen en vervolgens weer starten, alleen wordt dat nu met één enkele opdracht gedaan. Er zijn twee manieren om IIS opnieuw te starten:
    • Gebruik de grafische gebruikersinterface van IIS-beheer.
    • Gebruik het opdrachtregelprogramma IISReset.
  • Als er andere webservices in gebruik zijn op de computer met Windows Server 2003, is het mogelijk dat u deze niet wilt onderbreken. Ga als volgt te werk om de UDDI-services opnieuw te starten:
    1. Start IIS-beheer.
    2. Ga naar de map Groepen van toepassingen en klik met de rechtermuisknop op het pictogram MSUDDIAppPool.
    3. Klik op de menuoptie Recyclen. Daardoor worden de UDDI-services weer geactiveerd zonder dat andere webservices op de computer worden onderbroken.
Er wordt een foutbericht weergegeven wanneer u met behulp van named pipes verbinding maakt met een Microsoft Windows NT 4.0-computer
Wanneer u met behulp van named pipes verbinding maakt met een Windows NT 4.0-computer waarop Microsoft SQL Server 2000 wordt uitgevoerd, en die verbinding wordt gemaakt door een andere gebruiker dan de beheerder, kan een van de volgende foutberichten worden weergegeven:
Bericht 1
Kan geen verbinding maken. SQL Server bestaat niet
Bericht 2
Kan geen verbinding maken. Toegang geweigerd.
Voor informatie over het ophalen van een hotfix om dit foutbericht op te lossen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
823492Foutbericht 'Kan geen verbinding maken' als u verbinding probeert te maken met een computer met Windows NT 4.0 waarop SQL Server 2000 of SQL Server 7.0 wordt uitgevoerd

SQL Server 2000 64-bits

821280MS03-031: Beveiligingspatch voor 64-bits SQL Server 2000

SQL Server 7.0 Service Pack 4 (SP4) of Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279MS03-031: Beveiligingspatch voor SQL Server 7.0 Service Pack 4

Belangrijke opmerkingen

Lees deze belangrijke opmerkingen over de installatie van deze beveiligingspatch op een computer waarop SQL Server 7.0 Service Pack 4 (SP4) wordt uitgevoerd.
Er wordt een foutbericht weergegeven wanneer u met behulp van named pipes verbinding maakt met een Microsoft Windows NT 4.0-computer
Wanneer u met behulp van named pipes verbinding maakt met een Windows NT 4.0-computer waarop Microsoft SQL Server 2000 wordt uitgevoerd, en die verbinding wordt gemaakt door een andere gebruiker dan de beheerder, kan een van de volgende foutberichten worden weergegeven:
Bericht 1
Kan geen verbinding maken. SQL Server bestaat niet
Bericht 2
Kan geen verbinding maken. Toegang geweigerd.
Voor informatie over het ophalen van een hotfix om dit foutbericht op te lossen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
823492Foutbericht 'Kan geen verbinding maken' als u verbinding probeert te maken met een computer met Windows NT 4.0 waarop SQL Server 2000 of SQL Server 7.0 wordt uitgevoerd

Eigenschappen

Artikel ID: 815495 - Laatste beoordeling: maandag 10 juli 2006 - Wijziging: 2.2
De informatie in dit artikel is van toepassing op:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • Microsoft SQL Server 2000 64-bit Edition
Trefwoorden: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com